次の方法で共有


VPN 分割トンネリングのための Teams メディア トラフィックのセキュリティ保護

注:

この記事は、リモート ユーザー向けの Microsoft 365 の最適化に対処する一連の記事の一部です。

一部のMicrosoft Teams管理者は、通話フローが分割トンネリング モデルを使用して Teams で動作する方法と、接続のセキュリティ保護方法に関する詳細な情報を必要とする場合があります。

構成

呼び出しと会議の両方で、必要な Teams メディアの IP サブネットの最適化がルート テーブルに正しく配置されている限り、Teams が GetBestRoute 関数を呼び出して、特定の宛先に使用する必要があるルートに対応するローカル インターフェイスを決定すると、上記の Microsoft IP ブロック内の Microsoft の宛先に対してローカル インターフェイスが返されます。

一部の VPN クライアント ソフトウェアでは、URL に基づいてルーティング操作が可能です。 ただし、Teams のメディア トラフィックには URL が関連付けられていないため、このトラフィックのルーティングの制御は IP サブネットを使用して行う必要があります。

特定の状況では、Teams クライアントの設定とは関係なく、メディア トラフィックは正しいルートが設定されていても VPN トンネルを通過します。 このシナリオが発生した場合は、ファイアウォール規則を使用して Teams の IP サブネットまたはポートが VPN を使用できないようにブロックすれば十分です。

重要

すべての VPN シナリオで Teams メディア トラフィックが目的の方法でルーティングされるようにするには、ユーザーがクライアント バージョン 1.3.00.13565 以降Microsoft Teams実行していることを確認してください。 このバージョンには、クライアントが使用可能なネットワーク パスを検出する方法の機能強化が含まれています。

シグナリング トラフィックは HTTPS 経由で実行され、メディア トラフィックほど遅延の影響を受けず、URL/IP データでは [許可] としてマークされるため、必要に応じて VPN クライアント経由で安全にルーティングできます。

注:

Microsoft Edge 96 以降では、 ピアツーピア トラフィックの VPN 分割トンネリングもサポートされています。 つまり、お客様は、たとえば、Edge 上の Teams Web クライアントの VPN 分割トンネリングの利点を得ることができます。 Edge で実行されている Web サイト用に設定する必要があるお客様は、Edge WebRtcRespectOsRoutingTableEnabled ポリシーを無効にする追加の手順を実行することで実現できます。

セキュリティ

分割トンネルを回避するための一般的な引数の 1 つは、セキュリティが低い、つまり、VPN トンネルを通過しないトラフィックは、VPN トンネルに適用される暗号化スキームの恩恵を受けないため、セキュリティが低いということです。

これに対する主な反論は、機密性、認証、および RTP トラフィックに対する再生攻撃の保護を提供するリアルタイム転送プロトコル (RTP) のプロファイルである「Secure Real-Time Transport Protocol (SRTP)」によってメディアのトラフィックがすでに暗号化されていることです。 SRTP 自体は、ランダムに生成されたセッションキーに依存します。これは、TLS で保護された出力チャネルを介して交換されます。 これについては、セキュリティガイドで詳しく説明していますが、重要な部分はメディアの暗号化です。

メディア トラフィックは SRTP を使用して暗号化されます。SRTP は、セキュリティ保護された乱数ジェネレータによって生成され、シグナル出力 TLS チャネルで交換されるセッションキーを使用します。 さらに、仲介サーバーとその内部の次ホップの間で双方向に流れるメディアも、SRTP を使用して暗号化されます。

Skype for Business Online は、Traversal Using Relay around NAT (TURN) を介したメディア リレーへの安全なアクセスのためのユーザー名/パスワードを生成します。 メディア リレーは、TLS で保護された SIP チャネル上でユーザー名/パスワードを交換します。 VPN トンネルを使用してクライアントを企業ネットワークに接続する場合でも、サービスに到達するために企業ネットワークを離れるとき、トラフィックは引き続き SRTP 形式で流れる必要があります。

Teams が NAT (STUN) 増幅攻撃の音声やセッション トラバーサル ユーティリティ などの一般的なセキュリティ上の懸念を軽減する方法については、「 実装者のセキュリティに関する考慮事項」を参照してください。

リモートワーク環境での最新のセキュリティ管理については、「セキュリティ専門家と IT による、現代のユニークなリモート ワーク シナリオで最新のセキュリティ管理を実現するための代替的な方法 (Microsoft セキュリティ チーム ブログ)」を参照してください。

テスト

ポリシーが設定されたら、期待どおりに動作していることを確認する必要があります。 ローカル インターネット接続を使用するようにパスが正しく設定されているかどうかテストするには、いくつかの方法があります。

  • 上記のようにトレース ルートを含め、接続テストを実行する Microsoft 365 接続テストを実行します。 さらに、追加の分析情報を提供する必要がある VPN テストもこのツールに追加しています。

  • 分割トンネルのスコープ内のエンドポイントへの単純な トレーストレーサー は、次のように取得されたパスを示す必要があります。

    tracert worldaz.tr.teams.microsoft.com
    

    その後、分割トンネリング用に構成した Teams 範囲内の IP に解決する必要がある、このエンドポイントへのローカル ISP 経由のパスが表示されます。

  • Wireshark などのツールを使用してネットワーク キャプチャを取得します。 発信中に UDP でフィルタリングすると、 Teams の「最適化」範囲の IP アドレスに流れるトラフィックが表示されます。 このトラフィックに VPN トンネルが使用されている場合、メディア トラフィックはトレースに表示されません。

追加のサポート ログ

トラブル シューティングのためにさらにデータが必要な場合、または Microsoft のサポートが必要な場合は、次の情報を集めておくと、解決策を迅速に見つけることができます。 Microsoft サポートの TSS Windows PowerShell ベースのユニバーサル トラブルシューティング スクリプト ツールセットは、関連するログを簡単な方法で収集するのに役立ちます。 使用に関するツールと手順については、 TSS.zip をダウンロードし、「 トラブルシューティングスクリプト ツールセット (TSS) の概要」 を参照してください。

概要: Microsoft 365 の VPN 分割トンネリング

Microsoft 365 の VPN 分割トンネリングの実装

Microsoft 365 の一般的な VPN 分割トンネリング シナリオ

VPN 環境でのStreamイベントとライブ イベントに関する特別な考慮事項

中国ユーザー向けの Microsoft 365 パフォーマンスの最適化

Microsoft 365 ネットワーク接続の原則

Microsoft 365 ネットワーク接続の評価

Microsoft 365 ネットワークとパフォーマンスのチューニング

セキュリティ専門家と IT による、現代のユニークなリモート ワーク シナリオで最新のセキュリティ管理を実現するための代替的な方法 (Microsoft セキュリティ チーム ブログ)

Microsoft での VPN のパフォーマンス強化: Windows 10 の VPN プロファイルを使用して自動接続を許可する

VPN で実行: Microsoft がリモート ワークの従業員をどのように接続させているか

Microsoft グローバル ネットワーク